We hebben deze week een 30-user client overgezet op JumpCloud Platform SSO. Gemengde stack: Macs, een handvol Windows-laptops, Microsoft 365, Google Workspace, Adobe Creative Cloud, Synology, UniFi. Na de rollout: één login voor alles. Geen gezeur meer met SAML-redirects, geen vergeten wachtwoorden, geen helpdesk-tickets op maandagochtend. Hier is hoe.
Waarom Platform SSO en niet “gewoon” SAML?
Standaard SAML/OAuth SSO werkt prima voor webapps. Maar je Mac unlock je nog steeds met een lokaal wachtwoord — en dát is de bottleneck. Platform SSO op macOS Sonoma+ koppelt het lokale login-account direct aan je IdP. Eén wachtwoord-wissel in JumpCloud en de Mac weet het. Voor Touch ID-gebruikers: na de eerste login is het letterlijk een vingertop.
De deploy: twee configuratie-payloads
Via NinjaOne pushen we twee custom payloads naar elke Mac. Eén: een PPPC-profiel dat JumpCloud de juiste permissies geeft. Twee: een com.apple.extensiblesso payload die Platform SSO activeert en de IdP-endpoints configureert. Op een testmachine eerst — altijd. Daarna uitrol in waves van 5.
Debuggen doe je met sudo app-sso platform -s (status), app-sso platform -s --user $(whoami) (gebruiker-specifiek), en log stream --predicate 'subsystem == "com.apple.AppSSO"' als er iets raars gebeurt en je real-time logs wilt zien.
Wat we zouden doen als we opnieuw begonnen
Rol het níét uit op vrijdagmiddag. Communiceer twee weken vooraf. En wijs één power-user per team aan als kanarie — die test het scenario van op-reis-zijn, nieuw-wachtwoord, vergeten-device. Bespaart je een hoop tickets en je rolt pas breed uit als je zeker weet dat de edge cases werken.